Los cibercriminales no descansan y esta vez han descubierto una forma sorprendente de suplantar la seguridad de Google.
A través de un ataque de replay DKIM, los hackers lograron enviar correos electrónicos fraudulentos que parecían auténticos y aprovecharon las infraestructuras de Google para engañar a los usuarios.
¿Qué es el ataque DKIM Replay?
DKIM (DomainKeys Identified Mail) es un sistema de autenticación de correos electrónicos que valida la identidad del remitente.
Aunque en este ataque, los delincuentes aprovecharon una debilidad en el sistema de Google que permite enviar un correo falso con la firma DKIM válida, haciéndolo pasar como legítimo.
El truco radicó en que el correo parecía provenir de Google (por ejemplo, “no-reply@google.com”) y llevaba a los usuarios a un portal falso de soporte diseñado para robar sus credenciales de cuenta de Google.
El Caso de Nick Johnson: Un Ojo Avizor
Nick Johnson, un reconocido desarrollador de Ethereum Name Service (ENS), fue uno de los primeros en detectar el fraude. Recibió una notificación que parecía provenir de Google, informándole de una solicitud legal para obtener contenido de su cuenta.
Todo parecía legítimo, pero un vistazo más atento reveló que el enlace de soporte estaba hospedado en sites.google.com, lo que inmediatamente levantó sospechas.
El portal falso era una copia exacta del real de Google, con un solo detalle: estaba en un dominio distinto (sites.google.com en lugar de accounts.google.com), lo que lo delataba como un phishing.
Cómo los Hackers Aprovechan Google OAuth para el Fraude
El atacante registró un dominio similar al de Google, creó una cuenta de OAuth con ese dominio y luego autorizó a su app OAuth a acceder a sus correos. Esto hizo que Google enviara automáticamente un alerta de seguridad, firmada con DKIM, que pasaba todas las verificaciones de seguridad.
Los pasos del ataque fueron muy sencillos:
1. Crear un dominio falso que parecía estar gestionado por Google.
2. Crear una app OAuth falsa y enviar el correo phishing.
3. Forjar el mensaje con el estilo de Google y hacer que pasara las verificaciones de DKIM.
4. Redirigir al usuario a una página de phishing para robar sus credenciales.
La Lección: No Todo lo Que Brilla es Oro ✨
Aunque el sistema DKIM de Google es generalmente seguro, esta vulnerabilidad ha mostrado que, a veces, la confianza ciega en la autenticación no es suficiente. Afortunadamente, Google ya está tomando medidas para corregir esta brecha de seguridad.